Une nouvelle faille de sécurité Zero Day a été découverte dans Apache OfBiz, un système ERP (Enterprise Resource Planning) open source qui pourrait être exploitée pour contourner les protections d’authentification.
La vulnérabilité, suivie comme CVE-2023-51467réside dans la fonctionnalité de connexion et est le résultat d’un correctif incomplet pour une autre vulnérabilité critique (CVE-2023-49070score CVSS : 9,8) publié plus tôt ce mois-ci.
« Le mesures de sécurité « Le correctif CVE-2023-49070 a laissé le problème racine intact et le contournement de l’authentification était donc toujours présent », a déclaré l’équipe de recherche sur les menaces de SonicWall Capture Labs, qui a découvert le bug, dit dans une déclaration partagée avec The Hacker News.
CVE-2023-49070 fait référence à une faille d’exécution de code à distance pré-authentifiée affectant les versions antérieures à 18.12.10 qui, lorsqu’elle est exploitée avec succès, pourrait permettre aux acteurs malveillants de prendre le contrôle total du serveur et de siphonner les données sensibles. Cela est dû à un composant XML-RPC obsolète dans Apache OFBiz.
Selon SonicWall, CVE-2023-51467 pourrait être déclenché à l’aide de paramètres USERNAME et PASSWORD vides et invalides dans une requête HTTP pour renvoyer un message de réussite d’authentification, contournant ainsi efficacement la protection et permettant à un acteur malveillant d’accéder à des ressources internes autrement non autorisées.
L’attaque repose sur le fait que le paramètre « requirePasswordChange » est défini sur « Y » (c’est-à-dire oui) dans l’URL, ce qui entraîne le contournement trivial de l’authentification quelles que soient les valeurs transmises dans les champs nom d’utilisateur et mot de passe.
« La vulnérabilité permet aux attaquants de contourner l’authentification pour réaliser une simple falsification de requête côté serveur (SSRF) », selon une description de la faille dans la base de données nationale sur les vulnérabilités (NVD) du NIST.
Les utilisateurs qui comptent sur Apache OFbiz pour mettre à jour vers version 18.12.11 ou plus tard dès que possible pour atténuer toute menace potentielle.